"Vi väntar på praxis" : - Hur en meningsskapandeprocess av GDPR har gått till

Synnelius, Elvira, Winge, Helena

January 2018

Den allmänna dataskyddsförordningen (GDPR) som börjar gälla 25 maj 2018 ställer skärpta krav på hur företag hanterar personuppgifter. Dessa krav är dock till stor del otydliga hur de ska uppnås praktiskt. Genom att med kvalitativa intervjuer studera hur ett småföretag har arbetat med att skapa förståelse för GDPR kan några av de strategier företag använder sig av när de står inför legislativa utmaningar kartläggas. Med utgångspunkt i Weicks sensemaking-teori och de sju aspekterna av meningsskapande har företagets narrativ kring GDPR analyserats. Resultatet visar på att svårigheterna med att tolka lagstiftningen bidrar till en konflikt mellan att vilja följa lagen exakt och att praktiskt kunna genomföra detta när det inte finns en definit tolkning att tillgå innan praxis har skapats på området.

Allmänna dataskyddsförordningen

GDPR

meningsskapande

sensemaking

Business Administration

Företagsekonomi

Integritetsskydd i arbetslivet : Med fokus på hur arbetssökandes personliga integritet påverkas av att arbetsgivare utför informella registerkontroller inför anställning / Integrity protection in working life : With a focus on how jobseekers' personal integrity is affected by employers performing informal register checks prior to employment

Maglajlic, Lejla

January 2021

This essay will analyze the issue of personal integrity in working life for jobseekers with focus on how personal integrity is affected by the employer performing informal registry checks on jobseekers with a criminal past. The existing legislation and regulations address the issue of how personal integrity is protected in working life and in which situations the employer is entitled and not to perform registry checks on jobseekers. The legislative proposal issued by the government over the years discusses, among other things, the shortcomings in the legislation on the protection of jobseekers. Both constitutional and non-constitutional registry checks are discussed, where non-constitutional registry checks are considered being the problematic ones. This is mainly because these types of checks carried out by employers can be harmful because a person with a criminal past does not get a chance to return to society and working life.

Dataskyddsförordningen

Registerkontroller

Registerutdrag

Personlig integritet

Social Sciences

Samhällsvetenskap

Law

Juridik

Programvaruutvecklingen efter GDPR : Effekten av GDPR hos mjukvaruföretag

Nord, Lisa

January 2020

GDPR (General data protection regulation, generella dataskyddsförordningen) är en ny europeisk förordning som reglerar behandlingen av känsliga uppgifter samt det fria flödet av dessa inom EU. Förordningen utgör ett skydd för fysiska personer vid behandling av deras personuppgifter inom unionen vilket är en grundläggande rättighet.  GDPR har sedan den trädde i kraft i Maj 2018 varit en förordning att räkna med då dess bötesbelopp är höga. Alla företag inom Europa behöver följa reglerna samt företag utanför EU som hanterar europeiska personuppgifter. Målet med detta arbete är se vilken effekt GDPR har haft hos svenska mjukvaruutvecklare och hur de ser på sin arbetsbörda. Detta har gjorts genom en enkätundersökning hos svenska mjukvaruföretag som blivit slumpmässigt utvalda. Av uppsatsens resultat framgår det att många mjukvaruföretag som skapar egen programvara eller distribuerar programvara för en tredje part har den nya förordningen inneburit ett tyngre arbetslass samt omförhandling av existerande programvarulösningar. Något som inneburit nya arbetsplatser eller arbetsgrupper hos många företag. När GDPR först trädde ikraft lades det ner många arbetstimmar på att omvandla redan existerande lösningar för att uppfylla kraven. Trots detta har det lagts många fler timmar vid utveckling även efter GDPR för att se till att den nya programvaran även den lever upp till de krav som är ställda.  Av resultatet kan vi även finna att många företag ser väldigt strikt på hantering av känsliga uppgifter de samlat in från deras kunder men ser mindre strikt på lagring och hantering av personuppgifter av sina egna anställda. / GDPR(General data protection regulation) is a new European regulation that regulates data, protection, and privacy. It also addresses the transfer of personal data to countries outside of the European Union. Ever since the GDPR was enforceable May 2018, it has been a regulation for businesses to strictly follow and be wary of due to the hefty fines. All European businesses need to follow the new regulation and likewise, so to the businesses outside of the E.U. in which handles any type of personal data of Europeans. The goal with this thesis is to see the effect the GDPR has had for Swedish software developers and how they portray their workload. This data has been shown in the form of a questionnaire which was randomly distributed to a number of Swedish software companies.  In conclusion, this thesis shows that the new regulation has had a big impact on the developers that create new software/distributes software, primarily in form of a heavier workload and the need to re-negotiate already existing software. This has provided new jobs and/or new teams for many of the companies that were a part of this study. When GDPR was first introduced, the software companies spent countless hours on converting already existing software. Even tho they spend a lot of time in the beginning, the dedication of time is spent on every solution to make sure it meets the requirements of GDPR: We can also see that many businesses spend a lot more time and money on data protection for their clients personal data, but they do not treat their employees personal data in the same way.

GDPR

Programvaruutveckling

General Data Protection Regulation

Dataskyddsförordningen

Software Engineering

Programvaruteknik

Samtycke enligt PuL och dataskyddsförordningen / Consent per the Swedish Protection Data Act and the General data protection regulation

Bjurström, Gaëlle

January 2017

Den ökande användningen av personuppgifter, bland annat för att ”profilera” de registreradeutan deras vetskap, kan innebära en kränkning av den personliga integriteten. De rådande reglerna räcker inte till för att garantera att de registrerade ger ett fritt, aktivt och informerat samtycke till varje tilltänkt behandling av personuppgifter. I detta hänseende förväntasdataskyddsförordningen förstärka skyddet för den registrerades personliga integritet, genom attställa högre krav för att samtycke till personuppgiftsbehandling ska vara giltigt.När det gäller tillämpningen av reglerna angående inhämtning av samtycke till användning avkakor, visar en empirisk studie av svenska och franska webbsidor att, förutom i undantagsfall,tillämpar varken företag eller myndigheter de nu gällande reglerna. Detta innebär dels en riskför kränkning av de registrerades personliga integritet, dels en risk för hårda sanktioner för de personuppgiftsansvariga när dataskyddsförordningen träder i kraft.De registrerade börjar uttrycka oro över den omfattande personuppgiftsbehandling som sker utan deras vetskap och, i brist på öppen och ärlig information från de personuppgiftsansvarigas sida, börjar använda sig av reklamblockerare. Steget är inte långt till att de också börjar användasig av andra verktyg som helt utesluter användning av kakor. En sådan användning fyller dockviktiga statistiska, ekonomiska och praktiska funktioner, både för den personuppgiftsansvarigeoch för den registrerade. Genom att nöja sig med att ge generell information såsom ”vi använderkakor för att ge dig en bättre användarupplevelse” utan att närmare förklara på vilket sätt eller under vilka villkor, förstärker de personuppgiftsansvariga den rådande misstron hos de registrerade. Enligt öppenhetsprincipen som fastställs i dataskyddsförordningen, bör de personuppgiftsansvariga istället tydligt informera de registrerade om vilkapersonuppgiftsbehandlingar som utförs och i vilket syfte. Annars är risken, dels att de personuppgiftsansvariga straffas hårt när dataskyddsförordningen träder i kraft, dels att de registrerade helt vägrar personuppgiftsbehandlingen. Företagen har förklarat att de inte följer reglerna på grund av bristande kunskap, vilket bekräftas av en undersökning som har beställts av DELL. För att förklara hur reglerna ska tillämpas gerdärför denna uppsats ett enkelt exempel som visar att det endast krävs några få ändringar för attreglerna ska följas. Det ligger i företagens intresse att tillämpa dessa regler innan dataskyddsförordningen träder i kraft och, med denna, mycket hårdare sanktioner som även gäller vid behandling av icke-känsliga personuppgifter i strid med bestämmelser om samtycke. Detsamma gäller i större utsträckning för myndigheter, som underkastas ännu hårdare krav på grund av den registrerades underlägsna ställning och brist på fritt val. Ett förslag på hur inhämtning av samtycke bör se ut för att respektera dataskyddsförordningens minimikrav ges under rubriken 7.3.2. DELL-exemplet. Viktigast är att den registrerade först får detaljerad information angående varje tilltänkt personuppgiftsbehandling och dess syfte, och sedan har möjlighet att enkelt ge, vägra eller ta tillbaka sitt samtycke till varje tilltänkt personuppgiftbehandling. Utöver dessa minimikrav föreslås i uppsatsen att de personuppgiftsansvariga som befarar att de registrerade vägrar ge sitt samtycke till personuppgiftsbehandling skapar incitament genom att tydligt visa på vilket sätt personuppgiftsbehandlingen innebär en konkret förbättring av de registrerades användarupplevelse. För att motivera de registrerade att ge sitt samtycke till användning av särskilt integritetskränkande kakor, såsom tredjepartskakor som används i reklamsyfte, kan det behövas starkare incitament i form av en ekonomisk kompensation.

PuL

samtycke

dataskyddsförordningen

kakor

cookies

Law (excluding Law and Society)

Svenskarnas bild av GDPR : En kvantitativ undersökning om allmänhetens kunskap och åsikter om den nya dataskyddsförordningen

Hölzer, Markus, Eklund, Alexander

January 2019

Det har gått ungefär ett år sedan dataskyddsförordningen (GDPR) infördes i Sverige och EU och med den har det kommit flera olika rättigheter för att försöka få konsumenterna att känna sig tryggare och få bättre kontroll över sina personuppgifter. Med GDPR kommer ett antal rättigheter som kan vara viktigt för konsumenter att känna till och använda sig av för att få ut det mesta av GDPR. Då tekniken utvecklas väldigt snabbt så är denna förordning viktig för att försöka hänga med i denna utveckling, men vad tycker konsumenterna om den nya förordningen och de regler som medföljer? Denna uppsats har haft som syfte att ta reda på just vad konsumenterna tycker om denna nya förordning och om de tycker den är bra eller om det finns något som kan bli bättre. Författarna har använt sig utav en enkätundersökning där enkäten har skickats ut för att samla in data, med data menas till exempel hur de uppskattar sin kunskap om GDPR, var de fått informationen om GDPR ifrån, och om de tycker att den nya förordningen är bra eller om det finns några brister. Det finns också ett antal artiklar som respondenterna har uppskattat hur viktig den är för dem och om de använt den någon gång. Detta är alltså en kvantitativ undersökning som haft som syfte att ta reda på vad konsumenterna tycker om GDPR eller om de anser att det finns förbättringspotential. Det har sedan undersökts om det finns någon skillnad mellan åldersgrupper, sysselsättning och kön. Det har visat sig att de allra flesta tycker GDPR är bra men att den skulle kunna vara lättare att förstå. Det är dock inte fler än ungefär 50% som känner sig säkra på vad GDPR innebär för dem som konsumenter och har därför inte så stor koll på vad de har för rättigheter. Det är alltså något som kan behöva jobbas mer på, att få ut mer kunskap om GDPR till konsumenterna.

GDPR

Dataskyddsförordningen

dataskydd

attityd

kunskap

konsument

Information Systems, Social aspects

Profilering på webben : En studie om internetanvändares inställning till datainsamling / Profiling on the web : A Study on internet users attitude towards data collection.

Anderberg, Sebastian, Fernström, Johan

January 2018

Data collection is a topic that affects every person that uses various Internet services and has been a current topic the past year among individuals and the actors that collects data. It concerns actors collecting and storing personal data from users that either have or have no knowledge about it. The Cambridge Analytica-scandal which affected over 50 million users on Facebook initiated a discussion which concerns if data collection is right or wrong, but also how actors handle personal data and how it affects the integrity. With the enforcement of General Data Protection Regulation GDPR the 25th of May which will affect actors involved with data collection or usage. The regulation is about how actors can store data and use it. The regulation will also provide users the right to demand to be removed from actor’s databases. There has been some research on opinions among users concerning data collection, but not how they can be different with the knowledge of GDPR. So how is the attitude towards data collection among internet users? Do internet users apply services to prevent data collection? Do they even know about GDPR? A survey was performed to answer these questions and where the answers were put together in the form of statistic data. The purpose of this pre-study is to examine what the attitude is towards data collection. The study also examines how technical knowledge, age and knowledge about GDPR can be related to answers given in the survey. Based on the empirical data and identified relations between measurable variables the study’s conclusions can be made: The attitude to data collection is significant between users who have knowledge about GDPR and those how don´t have. Another conclusion is that the attitude varies between ages, internet habit and which actors who provides the data.

GDPR

dataskyddsförordningen

integritet

spårbarhet

profilering

informationssäkerhet

e-handel

Information Systems

Harmlös hantering– En studie i svenska näringsidkares personuppgiftshantering / Unharmful processing of personal data– A study of the personal data processing within Swedish companies

Landin, Andreas

January 2018

No description available.

GDPR

Missbruksregeln

Hanteringsmodellen

Missbruksmodellen

Dataskyddsförordningen

Personuppgiftshantering

Personuppgiftsbehandling

Harmlös

Vardaglig

Law

Juridik

Konsekvensbedömning avseende dataskydd : Riskanalys möter rättighetskrav

Johansson, Stefan

January 2018

The protection of personal data is a question of high priority within the EU. The General Data Protection Regulation (GDPR), which replaces the Directive 94/46/EC on data protection and shall be uniformly applied in the whole union from the 25th of May 2018, is a sign of this. Since the direct roots of the data protection rules and principles that are expressed in the GDPR are to be found in the article 8.1 of the Charter of Fundamental Rights of the European Union and in the article 16.1 of the Treaty on the Functioning of the European Union, the legal position of the protection of personal data as a fundamental human right is clear. Although this position is somewhat modified in recital 4 of the preamble, where it is stated that the protection of personal data is not an absolute right and that it must be considered in relation to its function in society and balanced against other fundamental rights, there should be no doubt that the protection of personal data has a high legal status in the EU. In broad terms, the GDPR could be regarded as an updating of the concept of protection of human rights and freedoms to the realities of the online era. The extent of processing of personal data in the world of today is huge and it continues to grow rapidly. In the GDPR, that processing is regarded as a risk to natural persons’ rights and freedoms.  However, all processing of personal data does not pose the same level of risk to natural persons’ rights and freedoms. The logic of this point has paved the way for the risk-based approach, which plays an important role in determining the responsibilities of the controller and the processor in each individual data processing. The risk-based approach can be expressed as the higher the risk, the higher the security must be. Or, in other words, security measures must follow risk level. The subject matter of this essay is the concept of data protection impact assessment (DPIA), which is regulated by Article 35 of the GDPR. At a certain level of risk, the controller is obliged to carry out a DPIA. There are legal demands to be met, but no explicit method is laid down in the Regulation. The Data Protection Authorities (DPA) of England and France have each developed a method to comply with the demands of Article 35. These methods are examined and their effectiveness in reaching that objective are assessed. The DPA:s of Germany have developed a method to technically operationalize data protection legislation. This method is presented and examined and its capacity as a tool to carry out a DPIA is also assessed. The essay contains two proposals. One in section 2.4 which attempts to clarify the meaning of four commonly used words in data protection terminology. The second proposal is in section 4.1. It compares the legal obligations to be met by data processing that activates the need for a DPIA to the legal obligations of those that do not. The proposal tries to define a work flow which minimizes the extra work if a DPIA has to be carried out. / Konsekvensbedömningar avseende dataskydd är en nyhet inom dataskyddslagstiftning. I dem möts riskanalys och rättighetskrav. Konsekvensbedömningar används sedan tidigare på olika sätt inom andra områden, men för dataskyddslagstiftning är det en konceptuell nyhet. De introduceras i artikel 35 i EU:s nya dataskyddsförordning, även känd som GDPR. Artikel 35 är mycket omfattande och inte helt lättöverskådlig. Samtidigt är den från och med 25 maj 2018 gällande rätt. Det innebär att berörda parter, främst personuppgiftsansvariga och personuppgiftsbiträden, är skyldiga att veta vad artikel 35 innebär för deras del. Underlåtelse att utföra en konsekvensbedömning, eller ett felaktigt utförande, kan medföra administrativa sanktionsavgifter på upp till 10 000 000 euro.  Uppsatsen undersöker och redovisar förutsättningarna för att bygga en rättsligt kvalitetssäkrad modell avseende när och hur en konsekvensbedömning avseende dataskydd ska genomföras, vad den ska innehålla samt hur en sådan modell kan göras skalbar. Uppsatsen söker visa hur och till vilken grad berörda parter med säkerhet kan veta att de uppfyllt sina skyldigheter enligt artikel 35.

GDPR

DPIA

risk

dataskyddsförordningen

konsekvensbedömning

dataskydd

risk

rättslig kvalitetssäkring

Law

Juridik

Dataskyddsförordningens påverkan på företags marknadsföringsarbete : Nya regler för företag som hanterar personuppgifter / The impact of GDPR on companies’ marketing: New rules for companies that handle personal data

Andersson, Ellinor, Wessberger, Fredrika

January 2018

Inledning: Det har blivit allt svårare att skydda personuppgifter på grund av den snabbt växande tekniska utvecklingen. Personuppgifter flödar mellan länder i stor utsträckning vilket ställer krav på ett mer sammanhängande dataskydd inom Europeiska unionen. Den 25 maj 2018 kommer en ny EU-förordning att träda i kraft. Förordningen kommer att gälla i alla EU:s medlemsländer och heter GDPR som står för General Data Protection Regulation. Lagändringen kommer att bidra till en striktare hantering och behandling av personuppgifter och därav stärka den enskilda personens integritet. Hur lagändringen kommer att påverka företags arbete med marknadsföring är en fråga som har växt fram. Syfte : Syftet med kandidatuppsatsen är att få kunskap om hur företagen anpassar sig efter den förändring som GDPR medför och om förändringar behöver göras i företagens marknadsföringsarbete på grund av GDPR. Metod : Uppsatsens angreppssätt är induktivt och det empiriska materialet är insamlat med hjälp av kvalitativa intervjuer. Totalt har nio intervjuer utförts, tre mailintervjuer och sex telefonintervjuer. Företagen som har medverkat i den här studien arbetar med marknadsföring och hanterar personuppgifter. Resultat : De intervjuade företagen tror inte att deras marknadsföring kommer att påverkas avsevärt. Några företag har och kommer att ändra vissa delar i kommunikationen till kunden, som till exempel ändra medlemsvillkor, rensa personuppgifter samt förändringar i utskick och nyhetsbrev. För att förbereda sig inför lagändringen har de flesta företagen arbetat med att utbilda anställda samt rensa i sina register. / Introduction : It has become increasingly difficult to protect personal data due to the rapidly evolving technological development. Personal data flow between countries to a large extent, which requires more coherent data protection within the European Union. In May 25th 2018, a new EU regulation will come into force. The regulation will apply in all EU member states and is called GDPR, the General Data Protection Regulation. The regulation will contribute to an increasingly rigorous handling and processing of personal data and hence strengthen the individual's integrity. How the change of law will affect business's marketing efforts is a matter that has emerged. Purpose: The purpose of this bachelor thesis is to gain knowledge of how companies adapt to the change that GDPR entails and whether changes need to be made in corporate marketing efforts due to GDPR. Method: The bachelor thesis is inductive and the empirical material is collected using qualitative interviews. A total of nine interviews have been conducted, three mail interviews and six telephone interviews. The companies that have participated in this study works with marketing and handles personal data. Results: The interviewed companies in the study do not believe that their marketing will be significantly affected. Some companies have and will change certain parts of the communication to the customer, such as changing member terms, clearing personal information, and changes in email and newsletters. In order to get GDPR compliant, most companies educate their employees and clean and enhance their registers.

General Data Protection Regulation

GDPR

personal data

marketing.

Dataskyddsförordningen

GDPR

personuppgifter

marknadsföring.

Business Administration

Företagsekonomi

Behandlingen av personuppgifter i EU:s nya dataskyddsförordning : Personuppgifter och dataportabilitet ur ett konkurrensrättsligt perspektiv / The processing of personal data in the General Data Protection Regulation : - Personal data and the right to data portability from a competition law perspective

Iwars, Jakob, Roos, Julia

January 2018

EU:s nya dataskyddsförordning, General Data Protection Regulation (GDPR) träder i kraft den 25 maj 2018 och ersätter den nuvarande personuppgiftslagen. Syftet med förordningen är att reglera och stärka skyddet vid all behandling av persondata. Bakgrunden till förordningen grundar sig i att EU behöver anpassa sig till den digitala och teknologiska utvecklingen som skett på marknaden, vilket medfört att mängden persondata som myndigheter och tjänsteleverantörer hanterar har ökat explosionsartat. Tjänsteleverantörer får flertalet fördelar genom att besitta en stor mängd persondata. De kan genom detta bevaka individens beteendemönster för att kunna anpassa sina internetsidor, rikta reklam som överensstämmer med individens intressen och förbättra den allmänna upplevelsen av den givna tjänsten. Med hjälp av persondata har aktörer på marknaden kunnat "låsa in" sina kunder, genom att tillämpa höga flyttaavgifter för persondata. Detta har varit en faktor som ansetts utgöra en hämmande effekt för den innovativa och konkurrensmässiga utvecklingen, vilket har resulterat i att konkurrensrätten kommer att behöva samspela med den nya dataskyddsförordningen gällande hanteringen av personuppgifter. Europeiska unionens nya dataskyddsförordning kommer att gälla för EU:s samtliga medlemsstater och ersätter helt personuppgiftslagen i Sverige. En förhoppning med den nya förordningen är att den ska gynna en ökad konkurrens på den europeiska marknaden, skapa goda förutsättningar för den innovativa utvecklingen och ge en större kontroll till personuppgiftsgivaren . Till följd av den nya dataskyddsförordningen tillkommer nya rättigheter och skyldigheter för både juridiska och fysiska personer. För att få en klarare bild av rättsläget, kommer denna uppsats att beskriva och problematisera den nya rätten till dataportabilitet och dess samspel med de andra artiklarna i dataskyddsförordningen.

GDPR

Dataskyddsförordningen

Personuppgifter

Dataportabilitet

Konkurrensrätt

Law (excluding Law and Society)